7月1日,中国人民大学一名毕业生涉嫌非法获取全校学生个人信息并制作“颜值打分”网站的事件引发广泛关注,并将高校网络信息安全问题再度推到公众视野。虽然嫌疑人马某某已被警方依法刑事拘留,但陆续有学生和网民在社交平台讨论,希望学校进一步公布信息泄露具体情况和原因,以及将如何加强数据安全防护。有专家指出,此事件给网络平台及高校敲响了警钟,个人隐私等敏感信息应只掌握在受过专业训练的工作人员手中。


(资料图片仅供参考)

有在校生认为信息泄露自新生入学问卷

涉事网站“RUC IR FACE”进入学生视野,源于7月1日一位匿名用户在中国人民大学校内学生论坛“小喇叭”里发帖。帖子附带的网站截图显示,网站收录了2014-2020级该大学本科、硕士、博士生的照片、姓名、学号、院校、籍贯和生日等多项个人信息,照片旁边还出现了每个人的颜值评分。目前,该网站已无法访问,论坛原帖也已被删除。

涉事网站截图。

此次中国人民大学学生被泄露的信息从何而来?目前尚未有官方信息披露。在社交平台上,有中国人民大学在校学生指出,马某某非法获取的学生信息中,包含“个人身高”这一通常在信息系统中不会存储的数据,因此怀疑信息泄露自新生入学时填写的“住宿习惯调查问卷”和“迎新签批表单”。相关表单中包含的学生信息字段恰好与涉事网站公开的信息字段相吻合。

同时,多名学生指出,马某某在校期间曾参与名为“OBE”的课程作业系统开发,该系统可接入校内“微人大”认证。上述表单后台同样与“微人大”相关联。有学生怀疑,马某某可能在“OBE”开发期间取得过“微人大”相关权限,或发现安全漏洞,从中获取大量学生个人信息。

在校学生怀疑新生入学时曾填写的问卷正是信息泄露来源。

案例:有高校因表单外传造成信息泄露

南都大数据研究院留意到,此前国内也曾有高校因问卷或表单外传造成学生个人信息泄露。

2020年6月,河南郑州西亚斯学院发生个人信息泄露事件。经查,由于校方工作人员缺乏保密意识,大量学生的个人信息以表格形式在社交平台上流传。事发后,学校对直接责任人予以解除劳动合同,对相关部门负责人及两名主管校领导予以记过处分;警方通报称对郑州西亚斯学院、及负有领导责任的一名副校长和直接责任人进行了行政处罚。

2022年9月,河南信阳师范学院有部分学生发现其学信码被盗用,怀疑遭遇信息泄露。经学校调查,事件起因是校学生会一名学生干部参加社会实践活动期间,应某公司业务人员要求,协助该公司擅自组织学生填答网上问卷,问卷中要求学生登录学信网并填写学信码,造成部分学生学信码泄露及被盗用。

在社交平台上,也有网民表示其所在高校曾通过公开表单采集学生个人信息,大量个人隐私信息一览无遗,存在巨大的数据安全隐患。

社交平台上,部分网民表示其所在高校也曾通过公开表单采集学生个人信息。

专家:此事给网络平台及高校敲响警钟

相关怀疑目前尚未得到校方及警方证实。不过已陆续有专家公开发声,建议高校加强校内数据安全防护。

中国政法大学传播法研究中心副主任朱巍认为,若马某某是利用职务之便窃取信息,则给网络平台及高校敲响了警钟,“不应让有一定权限的内部人员,获取到如此高级别的个人信息,这些特殊信息应掌握在受过专业训练的工作人员手中。”

中国政法大学网络法学研究所所长李怀胜表示,“此事件是近年来高校发生个人信息泄露影响力比较大的一次”,根据《网络安全法》,网络运营者应该对其收集的用户信息严格保密,并建立健全用户信息保护制度。当马某某拥有职务之便,则是网络运营者的一个组成部分,网络运营者不得泄露、篡改、损毁搜集到的个人信息,未经被收集者同意,不得向他人提供个人信息。

南开大学法学院副院长、教授,竞争法研究中心主任陈兵认为,“此次信息泄露事件的发生,说明高校作为《个人信息保护法》上的个人信息处理者在网络信息安全保护上尚存在一定漏洞,也为相关高校敲响警钟。”

陈兵表示,“根据《个人信息保护法》,个人信息处理者是个人信息保护的主要责任人,应与个人信息提供者一道发挥个人信息保护的作用。个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。此前,人们对个人信息处理者的定义普遍是企业、政府等,但是往往忽视高校也有海量数据,对于个人信息处理者的范畴需要做全面、准确、整体的认识。”

律师:当事人可能涉嫌多个罪名

对于学生的信息泄露,相关当事人和学校是否应当承担法律责任?

陕西恒达律师事务所赵良善律师分析,马某某的行为构成侵权,需承担民事侵权责任。其违反了《个人信息保护法》第2条规定:“公民个人信息受法律保护,任何组织、个人不得侵害”,以及《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息。”

赵良善表示,如果马某某通过破坏计算机系统等方式窃取信息的,马某某或涉嫌非法获取计算机信息系统数据罪,可判处3年以上有期徒刑。

上海申伦律师事务所律师夏海龙表示,马某某所获取的学生信息包括人像照片、姓名、学号、生日等,均属于《个人信息保护法》所规定的个人信息甚至敏感个人信息,在未取得信息主体同意前不得获取、处理,“本案中,由于行为人获取的信息数量庞大,因此可以推测其采取了侵入相关信息系统等非法手段,可能涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪等多个罪名。”

夏海龙表示,“如果学校在管理学生数据时未依法采取必要保护措施,根据《个人信息保护法》第六十六条、《数据安全法》第四十五条等规定,可能会受到罚款等行政处罚。此外,学校及该毕业生也可能被相关学生提起民事侵权诉讼或被提起公益诉讼,承担民事赔偿责任。”

经验:部分高校积极部署数据安全防护

南都大数据研究院了解到,CERNET(中国教育和科研计算机网)近年一直在关注和推进高校数据安全保护工作。

2022年9月,CCERT(中国教育和科研计算机网紧急响应组)就在其月报中指出,由于校园内人员结构比较复杂,往往很难有统一有效的安全策略和防护手段,一些高价值的信息就很容易成为APT(Advanced Persistent Threat,高级持续性威胁)攻击的目标。建议高校对校园网内的信息进行排查,对于高价值信息进行重点保护,涉及国家或科研密码的信息应严格按照相关要求不上网。

据CERNET公开资料,部分高校近年已针对数据安全保护制定相应管理制度,采取技术防护手段。相关经验或可供其他高校学习借鉴。

例如,武汉大学早在2020年就部署了华中地区高校首个数据泄露防护系统。据介绍,该系统上线运行后监测到多起敏感信息泄露,均由校方提前进行了有效处理。

同时,武汉大学还通过IP限制,访问方式限制等方式,最小化可以直接访问数据库的设备。并根据使用者的范围、使用场景等开放使用授权。在制度建设层面,武汉大学还出台了《武汉大学数据资源管理办法》,由信息中心负责数据中心的数据安全保障,根据网络安全等级保护要求明确各类数据的安全级别,并建立相应的安全管理制度和技术保护方案,对数据操作实行痕迹管理。

华南理工大学则建立了信息化和网络安全的同步机制,即新建信息化项目整个生命周期都由网信办进行网络安全指导和检查,及时发现和处理网络安全隐患;同时分清开发和运行界面,并分别由两个不同部门负责,防止开发者获取数据访问的不合理权限;以及完善数据访问的监控和审计,对日志实时进行异地存储,严格管理和定期检查管理员的密码。

出品:南都大数据研究院 数据安全治理与发展研究课题组

采写:南都研究员 李伟锋

推荐内容